残念ながら、非可溶性トークン・コレクション(NFT)は引き続きハッカーの格好の標的となっており、Azukiプロジェクトも被害に遭っている。悪意のある人物がプロジェクトのTwitterアカウントを乗っ取り、フィッシングリンクを共有し、一部のユーザーから資金を盗むことに成功しました。
AzukiのTwitterアカウントが悪意のある人物に乗っ取られる
。
1月27日(金)、Azuki non-fungible token(NFT)プロジェクトのツイッターアカウントがハッキングされました。犯人はAzukiコミュニティを招待し、コレクション専用のメタバースである「The Garden」に「土地を要求」してきました
。
悪質なツイートのスクリーンショット、現在は削除済み(リンクは非表示)
残念ながら、この一見まっとうなリンクを経由して、あずきコミュニティのメンバーは、フィッシングサイトで悪質な許可を得て財布を空にされました。わずか30分で、11 NFTと3.9 ETHがハッカーによって回収され、750,000 USDCが彼のウォレットに送られ、現在Etherscanによってフィッシングサイトと特定されています。
USDCはその後、同じくEtherscanによって特定された別のウォレットに送られ、こことここに見える2つの別々の取引を通じて、Uniswap V3分散型金融(DeFi)プロトコルを通じてそのトークンをWETH(Wrapped Ether)にスワップしています。
プロジェクトのコミュニティ・マネージャーであるRoseは、すぐにAzukiアカウントのハッキングを確認しました。幸いにも、コミュニティの反応性のおかげで、被害は比較的限定的なものにとどまりました。
ちょっとドロドロした問題
あずきさんのTwitterアカウントは幸い夕方には復旧し、一晩でプロジェクトからの事後報告がツイートされました。
1/本日、@AzukiOfficialのTwitterが侵害されました。1月27日(金)午前中(太平洋時間)に、悪意のあるツイートが連続して投稿されました。
@AzukiOfficialのTwitterを制御できる状態に戻しました。
詳細は以下ですあずき (@Azuki) January 27, 2023
スレッドにあるように、Twitterアカウントは、ソーシャルネットワークチームと連携して行われた作業により、比較的早く復旧しました。しかし、リリースによると、当該アカウントは二要素認証(2FA)方式で保護されていたようなので、侵入の原因は依然として謎のままです。そこで、アズキでは、この問題を明らかにするために調査を開始しました。
オンチェーン調査で知られるZachXBT氏は、手がかりの糸口をつかんだようです。彼によると、NFTプロジェクトのMutant Hounbds、AKCB、ChimpersのTwitterアカウントをハッキングできたのは、同じ人物だそうです。
最近 Mutant Hounds, AKCB, Chimpers のTwitterアカウントを侵害したLockという詐欺師と同一人物です。pic.twitter.com/YSgy6SnvJr
– ZachXBT (@zachxbt) January 27, 2023
また、この欠陥はTwitter側から来た可能性があり、Azukiのチームは攻撃を防ぐためにこれ以上何もできなかったと説明しており、この欠陥がセキュリティ対策として認められている2FAをバイパスしていることを説明しています。確かに、過去にTwitterアカウントのセキュリティを回避するために、多額の金銭を支払うことをいとわないハッカーが現れたことがあります。
しかし、これはあくまで推測に過ぎず、まだ何も確認されていません。しかし、同じハッカーがどのようにしてこれほど多くの異なるTwitterアカウントにアクセスすることができたのかを理解することは、非常に興味深いことです。
